В схеме Cloudflare → Load Balancer → Kubernetes SSL-сертификаты обычно выпускаются на уровне Cloudflare и/или Load Balancer, чтобы обеспечить TLS-шифрование между клиентом и этими компонентами.

Для защищённого соединения до origin (Kubernetes) можно использовать:

TLS между Load Balancer и Kubernetes: сертификаты выпускаются и управляются внутри инфраструктуры (например, с помощью cert-manager в Kubernetes).
Cloudflare Origin CA: Cloudflare может выдавать сертификаты для origin, которые доверены только Cloudflare, обеспечивая защищённый канал.

В AWS для выпуска сертификатов на origin можно организовать так:

Использовать AWS Certificate Manager (ACM) для выпуска и управления сертификатами.
Интегрировать cert-manager в Kubernetes, который автоматически запрашивает и обновляет сертификаты через ACM или Let's Encrypt.
Настроить Load Balancer (например, AWS ALB или NLB) для использования этих сертификатов и проксирования трафика в Kubernetes.

Таким образом, TLS шифрование обеспечивается на всех этапах, а управление сертификатами автоматизировано и централизовано.

Где должны выпускаться SSL-сертификаты в схеме Cloudflare → Load Balancer → Kubernetes? Как бы ты организовал выпуск на origin в AWS?